Cloud, sécurité, dépendances IT : la MAIF assure ses arrières
Après avoir dépensé 100 millions d’euros en quatre ans pour rénover et transformer son SI, la MAIF se doit d’administrer ses choix techniques et contractuels.
4.21. Ce n’est pas un jeu, c’est le nom du projet de rénovation et de modernisation du SI qui anime depuis quatre ans la DSI de la MAIF.
Celui-ci implique la gestion de sept programmes en parallèle liés au changement des outils IT et métiers phares qui composent « le cœur IARD [acronyme de Incendie, Accidents et Risques Divers N.D.L.R.] de l’entreprise ». Celui-ci touche à sa fin cette année.
« Le cœur de SI consacré au IARD s’appuie sur des spécifiques anciens, mais rénovés régulièrement, des progiciels du marché – par exemple, Sybel pour notre CRM – et toutes les fonctions supports », précise Nicolas Siegler, directeur adjoint des systèmes d’information chez la MAIF, lors d’une conférence de presse organisée par le mutualiste. « Enfin, nous avons de plus en plus de services SaaS ».
Au total, le projet 4.21 a coûté 100 millions d’euros en quatre ans. « Pour vous donner un ordre d’idée, les frais généraux à la MAIF, c’est quelque 932 millions d’euros en 2020 », compare Nicolas Siegler. « Nous avons nommé ce projet de rénovation 4.21, en forme de clin d’œil pour nous obliger à ne pas dépasser la date butoir de 2021 ».
La cyberattaque de 2017, l’un des vecteurs à la conduite du changement
Quatre ans plus tôt, en 2017, l’assureur devait se refaire une santé en embrassant la transformation numérique. De plus, en juin de la même année, il venait de subir une cyberattaque d’envergure.
« Nous avons fait le constat en 2017 que nous avions devant nous un certain nombre de technologies desquelles nous devions soit nous défaire complètement, soit effectuer des montées de version », déclare le directeur adjoint. « Nous avions non seulement des risques d’obsolescence, mais surtout de sécurité, voire de continuité d’activité », ajoute-t-il.
Outre la migration de Windows 7 vers Windows 10, le passage à Office 365 – deux éléments de la stratégie « Digital Workplace » de l’assureur – la DSI devait faire le ménage dans ses technologies et applications.
« Nous avions des technologies comme Delphi qui n’était pas maintenu, qu’il fallait supprimer parce que c’était les portes ouvertes vers l’extérieur. Nous avions un bureau électronique installé sur chaque poste dans une logique de client lourd qui nous pénalisait pour accéder à distance à notre SI », illustre le responsable.
Cet épisode a également conduit le groupe à adopter une politique de cybersécurité plus ferme, comme le relate la page 88 de son rapport annuel 2020. Formation d’un SOC, détection automatique de vulnérabilités, plan de reprise d’activité en cas d’attaque, acculturation des collaborateurs et des développeurs, campagnes d’audit sont quelques-unes des mesures prises par la DSI et son équipe sécurité.
La « triple alliance » siglée MAIF
Mais la préoccupation première de l’assureur mutualiste était de moderniser ses outils de travail pour in fine améliorer sa relation client et faire croître ses activités. Pour cela, il ne s’agissait pas simplement d’opter pour de nouvelles solutions ou effectuer des rénovations arbitraires, il fallait embarquer tout le monde dans le projet. Selon Nicolas Siegler, la DSI a passé une « triple alliance » avec les métiers, la direction de l’entreprise et la DRH.
« Nous avons calé les réformes du cœur du SI sur les besoins des métiers. C’est parce qu’il y avait ces exigences que nous en avons profité pour changer des pans entiers du SI. Nous avons aussi adopté rapidement la logique de MVP, permettant de commencer de petits projets que l’on peut étendre à l’échelle ensuite, sous l’angle du contenu et du déploiement », relate le directeur adjoint.
Auprès de la direction, la DSI a établi un système de cosponsoring avec les responsables métiers afin qu’ils puissent participer à l’élaboration des nouveaux socles logiciels. « Puis, nous avons pu sanctuariser des budgets SI afin de pouvoir effectuer de grandes transformations qui ne touchent pas forcément les métiers », complète-t-il. Cela permet entre autres de mener la construction d’un troisième centre de données promis pour être plus efficient que les deux structures existantes.
Avec la DRH, la DSI a collaboré à l’élaboration d’un programme afin d’encourager le recrutement des développeurs. « Nous avons créé les conditions favorables à ces recrutements, par exemple en favorisant le télétravail, les aides au déménagement, les formations, etc. », énumère le responsable.
Reprendre le contrôle du SI
« Cette grande transformation est passée par une période où l’on a embauché puis internalisé les compétences, notamment les développeurs », ajoute-t-il. « Nous partons d’une situation il y a 6 ou 7 ans, où le développeur était la dernière fonction que nous voulions avoir dans l’entreprise. Aujourd’hui, c’est complètement l’inverse, le développeur est au cœur de toutes les équipes ». Actuellement, la DSI compte 600 collaborateurs internes pour 7 000 employés au total à la MAIF.
Ce choix n’est pas anodin. Premier point, il reflète l’évolution du SI de la MAIF. En près de sept ans, la DSI est passée de sept filières technologiques à un peu moins de trente, selon Nicolas Siegler. Ces filières correspondent chacune à une solution technologique, par exemple TIBCO pour assurer les échanges entre certains services. Du même coup, le système d’information de la MAIF n’en est devenu que plus « riche », mais aussi plus « complexe », reconnaît le directeur adjoint.
Deuxième point, il s’agit d’améliorer la qualité des services IT. « Plus l’on a de développeurs internes, plus l’on peut contrôler la qualité de ce que l’on produit », déclare Nicolas Siegler.
Pour autant, ce contrôle n’était pas un acquis, en tout cas pas dans un premier temps.
« Lors d’une première phase, les projets avaient la priorité sur tout. Cela s’est répercuté sur la qualité de services. Nous délivrions beaucoup de projets, mais derrière il était difficile de maintenir les applications que nous avions livrées », raconte le directeur adjoint à la DSI.
« Nous avons environ 50 % de change et 50 % de Run. Une entreprise “normale” administre 30 à 40 % de change pour 60 à 70 % de run. Nous étions un peu en surchauffe, nous avons remis la qualité de services au cœur de nos applications. C’est important pour les sociétaires qui se connectent à notre site Internet, que le système cœur soit disponible à tout moment ».
Selon le responsable, la qualité de services serait en hausse, car mesurée en permanence. « Il y a deux ans encore, nous étions à 70 % de satisfaction dans notre enquête mensuelle, nous sommes passés à 80 % et elle continue de grimper ».
L’un des vecteurs de cette croissance serait, selon le dirigeant, le passage à des méthodes agiles dans le but de « favoriser l’écoute des clients et des utilisateurs ».
En outre, la DSI de la MAIF a considéré l’open source comme un différenciateur pour recruter des développeurs, mais aussi pour des raisons de dépendances à certains fournisseurs, et de besoins d’ouverture du SI. « Nous employons des briques libres disponibles sur le marché afin de nous affranchir plus ou moins de la domination de quelques géants de l’informatique, avec lesquels il est compliqué de négocier », déclare Nicolas Siegler.
Nicolas SieglerDirecteur adjoint des systèmes d’information, MAIF
Par ailleurs, l’assureur en a profité pour devenir éditeur de logiciels open source. « Notre contribution au bien commun passe aussi par le fait de mettre à disposition publiquement des développements que l’on a réalisés en interne. Nous avons libéré sept applications en quatre ans », vante Nicolas Siegler. La dernière en date s’appelle SHAPASH, une collection d’outils écrits en Python conçus pour expliquer des algorithmes.
Cloud : entre opportunités, prudence et dépendance
Quant au cloud, il provoque chez la DSI de la MAIF une forme de prudence, tout comme il est incontournable dans certains cas.
« Le cloud est évidemment un sujet. Nous y allons progressivement. Là aussi, il faut être attentif par rapport aux promesses que nous annonçaient les fournisseurs de cloud. Il y a un besoin de compétences véritables avant d’y aller. Il y a deux types d’offres qui sont intéressantes : le PaaS et le SaaS. Chacune des deux à ses avantages, mais le PaaS réclame de bien comprendre les technologies proposées, le DevOps, les notions de réversibilité, etc. », vulgarise le directeur adjoint. « La problématique du SaaS est très différente : il n’y a plus de montées de versions manuelles, c’est vrai, mais comme souvent les applications SaaS sont connectées à d’autres systèmes chez vous, vous devez gérer l’intégration à chaque mise à jour majeure ».
L’adoption du SaaS serait une « tendance irréversible. Vous n’avez pas beaucoup le choix », remarque Nicolas Siegler. « Il y a cinq ans, nous estimions que 7 % de coûts de maintenance étaient liés aux applications SaaS. Aujourd’hui, plus de 40 % des coûts de maintenance IT totaux sont imputables aux services SaaS ». Cela pose également des questions de sécurité et de gouvernance.
Nicolas SieglerDirecteur adjoint des systèmes d'information, MAIF
Il faut dire que certains éditeurs ne maintiennent plus leurs applications on-premise. « À l’occasion de montées de version, certains éditeurs nous disent : “notre prochaine version est disponible qu’en mode SaaS”. Chaque fois que nous rencontrons un tel cas, nous l’étudions avec attention et nous essayons de blinder les clauses contractuelles pour qu’elles soient les plus précises possibles afin d’éviter d’être coincés ou d’être en difficulté sur les questions de données personnelles, de sécurité et de continuité de services ».
« Nous avons rapidement fait attention à l’hébergement des données et aux informations stockées elles-mêmes. Nous avons deux centres de données, des sites Web hébergés chez OVH. Nous avons une attention particulière à ce que l’on peut mettre dans le cloud public et à la manière de le faire. Nous avons un comité de surveillance interne afin d’analyser la situation de nos applications déployées dans le cloud, et des services SaaS que nous utilisons afin de déterminer la gouvernance des données associée à chacune d’entre elles », tient à préciser Nicolas Siegler.
Aussi, la MAIF prend une place particulière dans le paysage des grandes entreprises françaises. Elle a adhéré à l’initiative Gaia-X visant à encourager l’émergence d’offres de cloud souverain européen. « Cela permet de poser les conditions de sécurité d’un cloud de confiance, dont on peut aussi sortir facilement […] Nous espérons que cette initiative portera ses fruits ».
Et si la MAIF a atteint « la fin d’un cycle en matière de rénovation et de transformation des services IT », « les défis restent nombreux ». Certains sont liés à l’activité de la mutuelle et au monde dans lequel il évolue. Les autres visent à faire de son SI une plateforme synonyme de simplicité, de performance, de résilience et d’évolutivité.
Dans ce cadre, l’approche FinOps fait partie des réflexions au sein de la DSI de la mutuelle d’assurance. « Le cloud est souvent vendu comme une manière de réduire les coûts, mais le retour d’expérience que nous en avons avec nos confrères DSI, c’est que c’est rarement moins cher », constate le responsable. Selon Nicolas Siegler, si comprendre les coûts derrière les services cloud est important, il faut aussi prendre en compte les impératifs des développeurs et les éduquer afin d’éviter les surcoûts. « Le rôle du FinOps est bien identifié, nous allons prochainement ouvrir cette fonction, mais beaucoup de questions demeurent sur le profil idéal pour ce genre de poste, il faut encore trouver le “nouveau mouton à cinq pattes” capable de comprendre la finance et le SI ».